English

◀◁ 뒤로 취약점ID 21305 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 웹 서버에 설치된 Invision Power Board 패키지에는 다수의 Cross-Site Scripting 취약점들이 존재한다. Invision Power Board 는 Invision Power Services 사에서 배포하는 PHP 기반의 웹 포럼(forum) 소프트웨어 패키지이다. 일부 Invision Power Board 들에는 스크립트 상에서 사용자로부터 입력되는 'c', 'f', 'showuser', 'username', 'pop' 파라미터를 충분히 필터링하지 못하는 결함으로 인하여, 다수의 Cross-Site Scripting 취약점이 발생할 수 있다. 다음과 같이 원격지 공격자들은 악의적인 스크립트가 삽입된 파라미터를 가진 잘 조작된 HTTP 요청을 생성하고, 대상 사용자들이 이 악의적인 링크를 방문할 때 사용자의 브라우저 상에서 실행되도록 할 수 있다. http://[target_server]/?c='><script>alert(document.cookie)</script> http://[target_server]/?act=SR&f='><script>alert(document.cookie)</script> http://[target_server]/?showuser='><script>alert(document.cookie)</script> http://[target_server]/index.php?act=Reg&CODE=2&coppa_user=0&UserName='><script>alert(document.cookie)</script> http://[target_server]/index.php?s=&act=chat&pop=1;'><script>alert(document.cookie)</script> 이 취약점은 공격자들이 대상 시스템의 쿠키(cookie) 기반 인증정보를 훔치거나 또 다른 공격을 수행하기 위해 도용될 수 있다. * 참고 사이트: http://archives.neohapsis.com/archives/bugtraq/2004-03/0082.html http://archives.neohapsis.com/archives/bugtraq/2004-03/0056.html * 영향을 받는 플랫폼: Invision Power Board 1.3 Final Invision Power Board 1.3.1 Final Any operating system Any version 해결책 2014년 6월 현재 이 취약점에 대한 업그레이드나 패치는 나와 있지 않다. 관련 URL CVE-2004-0359 (CVE) 관련 URL 9768 (SecurityFocus) 관련 URL 15403,15448 (ISS)